Die Forschungs- und Aufklärungsabteilung von Blackberry warnte vor einem finanziell motivierten Cyberangriff, der auf vermögende mexikanische Kryptowährungsbörsen , Banken und große Unternehmen mit einem Bruttoumsatz von über 100 Millionen US-Dollar abzielte.
Die Angreifer konnten bis nach Mexiko tracwerden und sollen ihren Sitz in Lateinamerika haben.
Ausgefeilte Angriffsmethodik
Der Bericht von Blackberry hebt die Verwendung des Open-Source-Fernzugriffstools AllaKore RAT durch die Angreifer hervor. Dieses Tool wurde stark modifiziert, um den Diebstahl sensibler Benutzerinformationen, darunterdentund eindeutige Authentifizierungsdaten, zu ermöglichen.
Die gestohlenen Informationen werden an einen Command-and-Control-Server (C2-Server) übermittelt, was Finanzbetrug ermöglicht.
Eine der bemerkenswertesten Eigenschaften dieses Cyberangriffs ist seine Infiltrationsmethode. Die Angreifer zielen darauf ab, die AllaKore-RAT auf firmeneigenen Computern und Datenbanken zu installieren und verschleiern ihre Aktionen häufig durch offizielle Namensschemata und Links.
Diese Methode hat es ihnen ermöglicht, das Misstrauen der Mitarbeiter zu umgehen, wodurch die Bedrohung schwer zu erkennen ist.
Die Tragweite dieser Cyberbedrohung reicht weit über den Finanzsektor hinaus. Zwar waren Kryptowährungsbörsen und Banken die Hauptziele, doch fielen auch große mexikanische Unternehmen aus verschiedenen Branchen diesen Angriffen zum Opfer.
Zu diesen Sektoren gehören Einzelhandel, Landwirtschaft, öffentlicher Sektor, verarbeitendes Gewerbe, Transportwesen, kommerzielle Dienstleistungen und Investitionsgüter.
Mexikanische Großunternehmen im Visier
Die Angreifer bevorzugen große Unternehmen mit einem Bruttoumsatz von über 100 Millionen US-Dollar. Solche Unternehmen berichten direkt an das mexikanische Sozialversicherungsinstitut (IMSS), was sie zutracZielen macht.
Es wurde beobachtet, dass die Cyberkriminellen mexikanische Starlink-IP-Adressen verwenden, was ihre Fokussierung auf mexikanische Einrichtungen weiter bestätigt.
Da die Angreifer ihre Taktiken verfeinern, verwenden neuere Versionen des AllaKore-RAT einen komplexeren Installationsprozess. Die Schadsoftware wird den Zielorganisationen in einer Microsoft-Softwareinstallationsdatei zugespielt.
Die Schadsoftware wird erst ausgeführt, nachdem bestätigt wurde, dass sich das Opfer in Mexiko befindet, was auf einen hohen Grad an Raffinesse in ihrer Vorgehensweise hindeutet.
Lateinamerikanische Verbindung
Spanischsprachige Anweisungen in der modifizierten RAT-Payload deuten darauf hin, dass der für diese Angriffe verantwortliche Akteur in Lateinamerika ansässig ist. Dieser regionale Bezug erschwert die Ermittlungen und unterstreicht die Notwendigkeit internationaler Zusammenarbeit bei der Bekämpfung dieser Cyberbedrohung.
Angesichts der sich ständig weiterentwickelnden Natur dieser Cyberbedrohung ist es für Organisationen, insbesondere solche in den betroffenen Sektoren, von entscheidender Bedeutung, proaktive Maßnahmen zum Schutz ihrer Systeme und Daten zu ergreifen.
Diese Maßnahmen können die Verbesserung der Cybersicherheitsprotokolle, die Implementierung robuster Systeme zur Erkennung von Eindringlingen und die Durchführung von Cybersicherheitsschulungen für Mitarbeiter umfassen, um ihnen zu helfen, potenzielle Bedrohungen zu erkennen.
Gemeinsame Anstrengungen
Die Bekämpfung dieser Cyberbedrohung erfordert gemeinsame Anstrengungen von privatem und öffentlichem Sektor. Betroffene Unternehmen sollten eng mit Strafverfolgungsbehörden und Cybersicherheitsexperten , um den Schaden zu untersuchen und zu minimieren.
Darüber hinaus kann der Austausch von Bedrohungsinformationen und bewährten Verfahren innerhalb der Geschäftswelt dazu beitragen, die Abwehr gegen künftige Angriffe zu stärken.
